《细究WeChat》这四篇系列文章探讨中国社群应用程式 WeChat 及其国内版“微信”的复杂性和所造成威胁。在这篇文章中,无国界记者(RSF)将概述两者的主要特征,并为记者提供使用上的建议。

WeChat(及国内版的“微信”)是中国科技公司腾讯开发的应用程式,现为全球第二大通讯软体。WeChat 提供简讯、社群媒体、支付、浏览网页等功能,过去十年已成为中国人生活中不可或缺的一部分。对记者来说,当他们要和身处中华人民共和国境内的消息来源联络时,WeChat 是相当重要的工具。然而 WeChat 使用起来根本不安全,并且经常被中国政府用来审查和监视。本篇文章将简介 WeChat 及其功能,并提供使用者自我保护的相关建议。

安全和监控问题

  • 加密和安全缺陷。这两款应用程式使用的是传输加密 (EiT),允许伺服器层级的解密,和 Signal、WhatsApp 等平台使用的端到端加密 (更加安全) 形成强烈对比。WeChat 过去多次爆出资料外泄,暴露使用者敏感资讯 (姓名、身份证号、电话号码和地址等) ,种种违规行为都凸显平台安全措施不足,使用者隐私也存在潜在风险。
  • 政府监督和审查。这两款应用程式都在中国政府严格的监视和审查制度下运作。母公司腾讯已与共产党建立稳固关系,协助政府对通讯广泛监控和控制,其中包括即时审查文字和图像,以及对语音通话、视讯的监控。值得注意的是,政府经常在使用者不知情的情况下取得他们的通讯内容,导致使用者因看似微不足道的罪行面临法律诉讼。

全球威胁

  • 国内和国际业务的界线变得模糊。腾讯在2013年曾试图将国际版的 WeChat 和国内版的微信区分开来,表面上是为了保护国际版使用者,避免他们受到中国政府的监视和审查。然而,两者之间的区分并不如表面上那么清楚。WeChat 和微信的核心功能和底层架构仍相互连结,表示软体的监视和审查能力并不限于中国境内。这样的整合意味着只要涉及微信使用者的跨国通讯皆属中国管辖,即便是在中国境外使用 WeChat 的人也会受到影响。
  • 资料储存和管辖权问题。国际版使用者的某些资料(包括 APP 内翻译功能发送的讯息和网页浏览记录)储存在中国的伺服器,并受中国法律管辖。如此一来无论使用者身在何处,都可能被中国当局监视、存取资料。

安全使用建议

  • 使用次要设备。记者应在不含任何敏感、可识别身分资讯的次要设备上操作WeChat,次要设备物理上和电子上都应和其他设备完全隔绝。
  • 增强匿名性。记者应使用非中国手机号码注册以增加匿名性,避免将 WeChat 连到任何私人社群媒体帐户或使用实名。
  • 落实高度安全做法。使用者应在下载 WeChat 后限制应用程式的权限,将安全设定改到最高规格,使用独一无二的强密码,保持谨慎,不要轻易接受陌生人的好友请求。
  • 使用加密通讯。传输敏感档案时,应事先在其他设备加密再透过 WeChat 或微信寄送。收件者必须透过不在 APP 上的其他安全管道接收解密金钥。

 

→ 阅读 第一章:微信与 WeChat —可怕的双胞胎
→ 阅读 第二章:中国的微信——老大哥正看着你
阅读 第三章:中国送出境外的特洛伊木马 WeChat
→ 阅读 第四章:给使用 WeChat 与微信记者的安全建议

本文由 Bence Kócsi 共同撰写。Bence Kócsi 为资深自由编辑、作家、研究员,长期关注资安、科技、历史语言学、政治、医学等各种主题。

本文由 Ben Finn 共同撰写。Benjamin Finn 来自美国休士顿,在 IT 领域已有十年资历,期间主要工作为协助大型企业部署内部资安工具,包含提升网路安全的措施。